MPLS 流量的防火墙过滤器匹配条件

您可以使用 MPLS 流量匹配条件配置防火墙过滤器（）。family mpls

除管理接口和内部以太网接口（或）、环路接口（）和 USB 调制解调器接口（）之外，所有接口都支持协议系列防火墙过滤器的 and 语句input-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd
（QFX5100、QFX5110、QFX5200、QFX5210）如果要在环路接口上应用 MPLS 过滤器，则只能对、、、第 4 层和端口号字段进行过滤。labelexpttl=1tcpudp 对于 TTL，您必须显式指定 under 才能匹配 TTL=1 数据包。ttl=1family mpls 唯一可以配置的操作包括、和。acceptdiscardcount 您只能在入口方向应用过滤器。
对于具有 MPC 和 MIC 的 MX 系列路由器，您可以使用内部有效负载匹配条件，根据 MPLS 标记的 IPv4 和 IPv6 参数为 MPLS 系列应用入站和出站过滤器，并启用 MPLS 流量到监控设备的选择性端口镜像（从 Junos OS 版本 18.4R1 开始）。对于基于 IP 的过滤，MPLS 过滤术语参数下提供了其他匹配条件，为了支持端口镜像，可以在过滤器术语参数下执行其他操作（例如端口镜像和端口镜像实例）。fromthen

介绍了可以在层次结构级别配置的。表 1match-conditions[edit firewall family mpls filter filter-name term term-name from]

表 1： MPLS 流量的防火墙过滤器匹配条件
匹配条件	Description
`apply-groups`	指定要从中继承配置数据的组。可以指定多个组名。必须按继承优先级顺序列出它们。第一组中的配置数据优先于后续组中的数据。
`apply-groups-except`	指定不从中继承配置数据的组。可以指定多个组名。
`destination-port number`	在 UDP 或 TCP 目标端口字段上进行匹配。要代替数值，可以指定以下文本同义词之一（还会列出端口号）：（1483），（179），（512），（68），（67），（514），（2401），（67），（53），（2105），（2106），（512），（79），（21），（20），（80），（443），（113），（143），（88），（543），（761），（754），（760），（544），（389），（646），（513），（434），（435），（639），（138），（137），（139），（2049），（119），（518）、（123）、（110）、（1723）、（515）、（1813）、（1812）、（520）、（2108）、（25）、（161）、（162）、（444）、（1080）、（22）、（111）、（514）、（49）、（65）、（517）、（23）、（69）、（525）、（513）或（177）。`afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp`
`exp number`	数据包的 MPLS 标头中的实验（EXP）位号或位号范围。对于，可以二进制、十进制或十六进制格式指定一个或多个从 0 到 7 的值，如下所示：`number` 单个 EXP 位，例如 `exp 3` 几个 EXP 位，例如 `exp 0,4` EXP 位的范围，例如 .`exp [0-5]` 应用于环路接口的过滤器不支持这些值。注：此匹配条件在 PTX10001-36MR、PTX10003、PTX10004、PTX10008 和 PTX10016 设备上已弃用，取而代之的是。`exp0 number`
`exp-except number`	与 MPLS 标头中的 EXP 位号或位号范围不匹配。对于，可以从中指定一个或多个值。`number07` 注：此匹配条件在 PTX10001-36MR、PTX10003、PTX10004、PTX10008 和 PTX10016 设备上已弃用，取而代之的是。`exp0-except`
`exp0 number`	数据包的 TOS MPLS 标头中的实验（EXP）位号或位号范围。对于，可以二进制、十进制或十六进制格式指定一个或多个从 0 到 7 的值，如下所示：`number` 单个 EXP 位，例如 `exp0 3` 几个 EXP 位，例如 `exp0 0,4` EXP 位的范围，例如 .`exp0 [0-5]` 应用于环路接口的过滤器不支持这些值。
`exp0-except number`	不要匹配数据包的 TOS MPLS 标头中的 EXP 位号或位号范围。对于，可以二进制、十进制或十六进制格式指定一个或多个从 0 到 7 的值，如下所示：`number` 单个 EXP 位，例如 `exp0-except 3` 几个 EXP 位，例如 `exp0-except 0,4` EXP 位的范围，例如 .`exp0-except [0-5]` 应用于环路接口的过滤器不支持这些值。
`exp1 number`	实验性（EXP）位号或 MPLS 标头中位于 TOS（堆栈顶部）MPLS 标头旁边的位号范围。对于，可以二进制、十进制或十六进制格式指定一个或多个从 0 到 7 的值，如下所示：`number` 单个 EXP 位，例如 `exp1 3` 几个 EXP 位，例如 `exp1 0,4` EXP 位的范围，例如 .`exp1 [0-5]` 应用于环路接口的过滤器不支持这些值。
`exp1-except number`	在 TOS MPLS 标头旁边的 MPLS 标头中的 EXP 位号或位号范围上不匹配。对于，可以二进制、十进制或十六进制格式指定一个或多个从 0 到 7 的值，如下所示：`number` 单个 EXP 位，例如 `exp1-except 3` 几个 EXP 位，例如 `exp1-except 0,4` EXP 位的范围，例如 .`exp1-except [0-5]` 应用于环路接口的过滤器不支持这些值。
`forwarding-class class`	转发类。指定、、或。`assured-forwardingbest-effortexpedited-forwardingnetwork-control` 注：在 PTX10001-36MR 上，使用PTX10003、PTX10004、PTX10008、PTX10016 路由器或位来获取转发类。`exp0exp1`
`forwarding-class-except class`	在转发类上不匹配。指定、、或。`assured-forwardingbest-effortexpedited-forwardingnetwork-control`
`interface interface-name`	接收数据包的接口。您可以配置匹配条件，根据接收数据包的接口匹配数据包。注：如果使用不存在的接口配置此匹配条件，则该术语与任何数据包都不匹配。
`interface-set interface-set-name`	将接收数据包的接口与指定的接口集匹配。要定义接口集，请在层次结构级别包含语句。`interface-set[edit firewall]` 注： PTX 系列数据包传输路由器不支持此匹配条件。有关更多详细信息，请参阅过滤接口集上接收的数据包概述。
`ip-version number`	匹配内部 IP 版本。例如，要匹配带有 MPLS 标记的 IPv4 数据包，请匹配文本同义词。`ipv4` 您可以根据源地址和目标地址及端口进一步匹配数据包。`ip-version number` 请参阅和。表 1 表 2
`label number`	数据包的 MPLS 标头中的 MPLS 标签值或标签值范围。对于，可以十进制或十六进制格式指定一个或多个从 0 到 1048575 的值，如下所示：`number` 单个标签，例如 `label 3` 多个标签，例如 `label 0,4` 一系列标签，例如 .`label [0-5]` 应用于环路接口的过滤器不支持这些值。注：此选项在 PTX10001-36MR、PTX10003、PTX10004、PTX10008 和 PTX10016 设备上已弃用，并替换为。`label0`
`label0 number`	数据包的 TOS MPLS 标头中的 MPLS 标签值或标签值范围。对于，可以十进制或十六进制格式指定一个或多个从 0 到 1048575 的值，如下所示：`number` 单个标签，例如 `label0 3` 多个标签，例如 `label0 0,4` 一系列标签，例如 .`label0 [0-5]` 应用于环路接口的过滤器不支持这些值。
`label0-except number`	不匹配数据包的 TOS MPLS 标头中的 MPLS 标签值或标签值范围。对于，可以十进制或十六进制格式指定一个或多个从 0 到 1048575 的值，如下所示：`number` 单个标签，例如 `label0-except 3` 多个标签，例如 `label0-except 0,4` 一系列标签，例如 .`label0-except [0-5]` 应用于环路接口的过滤器不支持这些值。
`label1 number`	匹配 TOS MPLS 标头旁边的 MPLS 标头的 MPLS 标头标签中的 MPLS 标签值或标签值范围。对于，可以十进制或十六进制格式指定一个或多个从 0 到 1048575 的值，如下所示：`number` 单个标签，例如 `label1 3` 多个标签，例如 `label1 0,4` 一系列标签，例如 .`label1 [0-5]` 应用于环路接口的过滤器不支持这些值。
`label1-except number`	与 TOS MPLS 标头旁边的 MPLS 标头标签中的 MPLS 标签值或标签值范围不匹配。对于，可以十进制或十六进制格式指定一个或多个从 0 到 1048575 的值，如下所示：`number` 单个标签，例如 `label1-except 3` 多个标签，例如 `label1-except 0,4` 一系列标签，例如 .`label1-except [0-5]` 应用于环路接口的过滤器不支持这些值。
\| \| `label number topbottomoffsetoffset-value`	匹配传入 MPLS 数据包的顶部标签、底部标签或指定偏移量（从标签堆栈的顶部或底部）的标签。 `top` - 参考堆栈顶部与堆栈底部匹配。 `bottom` - 参考堆栈底部与堆栈顶部匹配。 - 参考 MPLS 堆栈深度相对于堆栈顶部或底部进行匹配，其中 = （0..15）。`offset<offset-value>offset-value` `label` `number` `top` `offset` `offset-value` - MPLS 顶部标签过滤器匹配，与堆栈打磨的偏移量从 0 到 15。0 是隐式过滤器和 CLI 过滤器从堆栈顶部开始的第一个标签位置。 `label` `number` `bottom` `offset` `offset-value` - MPLS 底部标签过滤器匹配，与堆栈打磨的偏移量从 0 到 15。0 是隐式过滤器和 CLI 过滤器从堆栈底部开始的第一个标签位置。 - 如果旁边没有提供顶部或底部选项，则默认匹配从具有给定偏移量的堆栈顶部开始。`labelnumberoffsetoffset-valuelabelnumber` 换句话说，标签编号偏移量 [n = 0..15] 等效于标签编号顶部偏移量 [n = 0..15]。 - 如果旁边未提供任何选项然后，默认匹配将在顶部标签上完成（隐式偏移量 0 和锚点位于堆栈顶部）。`labelnumberlabelnumber` 注：标签上的过滤器匹配如果偏移超出 MPLS 堆栈深度，则可能无法提供预期行为。对于位置为底部的过滤器标签匹配，如果偏移量超出 MPLS 堆栈深度，则过滤器将始终在堆栈末尾标签上匹配。对于位置为顶部的过滤器匹配，如果偏移量超出 MPLS 堆栈深度，则将指向付费负载以匹配配置的标签。注：配置命令选项在 Junos 22.3R1 版中引入。
`loss-priority level`	匹配数据包丢失优先级（PLP）级别。指定单个级别或多个级别：、、或。`lowmedium-lowmedium-highhigh` 在 M120 和 M320 路由器上受支持;采用增强型 CFEB （CFEB-E）的 M7i 和 M10i 路由器;以及 MX 系列路由器和 EX 系列交换机。对于配备增强型 II 灵活 PIC 集中器（FPC）和 EX 系列交换机的 M320、MX 系列和 T 系列路由器上的 IP 流量，必须在层次结构级别包含语句，才能提交具有指定四个级别中的任何一个的 PLP 配置。 `tri-color` `[edit class-of-service]` 如果未启用该语句，则只能配置和级别。`tri-colorhighlow` 这适用于所有协议家族。有关该语句的信息，请参阅配置和应用 Tricolor 标记监管器。`tri-color`Configuring and Applying Tricolor Marking Policers 有关使用行为聚合（BA）分类器设置传入数据包的 PLP 级别的信息，请参阅了解转发类如何将类分配给输出队列。Understanding How Forwarding Classes Assign Classes to Output Queues 注：在 PTX10001-36MR 上，使用PTX10003、PTX10004、PTX10008、PTX10016 路由器或位来获取丢失优先级。`exp0exp1`
`loss-priority-except level`	与 PLP 级别不匹配。有关详细信息，请参阅匹配条件。`loss-priority` 注： PTX 系列数据包传输路由器不支持此匹配条件。
`source-port number`	在 TCP 或 UDP 源端口字段上进行匹配。不能在同一术语中指定和匹配条件。`portsource-port` 如果为 IPv4 流量配置此匹配条件，我们建议您还在同一术语中配置 or match 语句，以指定端口上使用的协议。`protocol udpprotocol tcp` 您可以指定下列出的文本同义词之一，以代替数值字段。`destination-port`
`ttl0 number`	匹配数据包的 TOS MPLS 标头中的 TTL 编号或数字范围。生存时间（TTL）是 MPLS 标签中的一个 8 位字段，表示数据包在其生命结束和丢弃之前剩余的时间。对于，可以指定一个介于 0 到 255 之间的值。`number`
`ttl0-except number`	不要匹配数据包的 TOS MPLS 标头中的 TTL 编号或数字范围。生存时间（TTL）是 MPLS 标签中的一个 8 位字段，表示数据包在其生命结束和丢弃之前剩余的时间。对于，可以指定一个介于 0 到 255 之间的值。`number`
`ttl1 number`	匹配数据包的 TOS MPLS 标头旁边的 MPLS 标头中的 TTL 编号或编号范围。生存时间（TTL）是 MPLS 标签中的一个 8 位字段，表示数据包在其生命结束和丢弃之前剩余的时间。对于，可以指定一个介于 0 到 255 之间的值。`number`
`ttl1-except number`	不要匹配数据包的 TOS MPLS 标头旁边的 MPLS 标头中的 TTL 编号或数字范围。生存时间（TTL）是 MPLS 标签中的一个 8 位字段，表示数据包在其生命结束和丢弃之前剩余的时间。对于，可以指定一个介于 0 到 255 之间的值。`number`

注：

、、、仅在 PTX10001-36MR、PTX10003、PTX10004、PTX10008 PTX10016 上受支持。exp0exp0-exceptexp1exp1-exceptip-versionlabel0label0-exceptlabel1label1-exceptttl0ttl0-exceptttl1ttl1-except

介绍了可在层次结构级别为 MPLS 防火墙过滤器配置的操作。表 2[edit firewall family mpls filter filter-name term term-name then]

表 2： MPLS 防火墙过滤器支持的操作
操作	Description
`accept`	接受数据包
`count counter-name`	计算通过此过滤器或术语的数据包数。注：我们建议您为防火墙过滤器中的每个术语配置一个计数器，以便可以监控与每个过滤器术语中指定的条件匹配的数据包数。
`discard`	以静默方式丢弃数据包，而不发送互联网控制消息协议（ICMP）消息
`policer`	从 Junos OS 13.2X51-D15 开始，您可以将 MPLS 过滤器匹配的流量发送到双色监管器。
`three-color-policer`	从 Junos OS 13.2X51-D15 开始，您可以将 MPLS 过滤器匹配的流量发送到三色监管器。

MPLS 流量的防火墙过滤器匹配条件

相关主题